Esercitazione: Configurare Cloudflare Web Application Firewall con Microsoft Entra per ID esterno
Questa esercitazione illustra come configurare Cloudflare Web Application Firewall (Cloudflare WAF) per proteggere l'organizzazione da attacchi, ad esempio DDoS (Distributed Denial of Service), bot dannosi, Open Worldwide Application Security Project (OWASP) Top-10 security risks e altri.
Prerequisiti
Per iniziare, è necessario:
- Microsoft Entra per ID esterno tenant
- Frontdoor di Microsoft Azure (AFD)
- Account Cloudflare con WAF
Informazioni sui tenant e sulla protezione delle app per consumer e clienti con Microsoft Entra per ID esterno.
Descrizione dello scenario
- Microsoft Entra per ID esterno tenant: provider di identità (IdP) e server di autorizzazione che verifica le credenziali utente con criteri personalizzati definiti per il tenant.
- Frontdoor di Azure: abilita domini URL personalizzati per Microsoft Entra per ID esterno. Il traffico verso domini URL personalizzati passa attraverso Cloudflare WAF, quindi passa ad AFD e quindi al tenant Microsoft Entra per ID esterno.
- Cloudflare WAF : controlli di sicurezza per proteggere il traffico verso il server di autorizzazione.
Abilitare domini URL personalizzati
Il primo passaggio consiste nell'abilitare domini personalizzati con AFD. Usare le istruzioni in Abilitare domini URL personalizzati per le app nei tenant esterni (anteprima).
Creare un account Cloudflare
- Passare a Cloudflare.com/plans per creare un account.
- Per abilitare WAF, nella scheda Servizi applicazioni selezionare Pro.
Configurare il server dei nomi di dominio (DNS)
Abilitare WAF per un dominio.
Nella console DNS, per CNAME, abilitare l'impostazione proxy.
In DNS selezionare Proxy status (Stato proxy).
Lo stato diventa arancione.
Controlli di sicurezza cloudflare
Per una protezione ottimale, è consigliabile abilitare i controlli di sicurezza Cloudflare.
Protezione DDoS
Passare al dashboard Cloudflare.
Espandere la sezione Sicurezza.
Selezionare DDoS.
Viene visualizzato un messaggio .
Protezione dei bot
Passare al dashboard Cloudflare.
Espandere la sezione Sicurezza.
In Configura modalità di combattimento super bot selezionare Blocca per Sicuramente automatizzato.
Per Probabilmente automatizzato, selezionare Sfida gestita.
Per Bot verificati selezionare Consenti.
Regole del firewall: traffico dalla rete Tor
È consigliabile bloccare il traffico proveniente dalla rete proxy Tor, a meno che l'organizzazione non debba supportare il traffico.
Nota
Se non è possibile bloccare il traffico tor, selezionare Verifica interattiva, non Blocca.
Bloccare il traffico dalla rete Tor
Passare al dashboard Cloudflare.
Espandere la sezione Sicurezza.
Selezionare WAF.
Seleziona Crea regola.
Per Nome regola immettere un nome pertinente.
Per Se le richieste in ingresso corrispondono, in Campo selezionare Continente.
Per Operatore selezionare uguale.
In Valore selezionare Tor.
Per Quindi eseguire un'azione, selezionare Blocca.
Per Place at (Posizione in) selezionare First (Primo).
Seleziona Distribuisci.
Nota
È possibile aggiungere pagine HTML personalizzate per i visitatori.
Regole del firewall: traffico da paesi o aree geografiche
È consigliabile controllare rigorosamente la sicurezza sul traffico proveniente da paesi o aree geografiche in cui è improbabile che si verifichino attività aziendali, a meno che l'organizzazione non abbia un motivo aziendale per supportare il traffico da tutti i paesi o le aree geografiche.
Nota
Se non è possibile bloccare il traffico da un paese o un'area geografica, selezionare Verifica interattiva, non Blocca.
Bloccare il traffico da paesi o aree geografiche
Per le istruzioni seguenti, è possibile aggiungere pagine HTML personalizzate per i visitatori.
Passare al dashboard Cloudflare.
Espandere la sezione Sicurezza.
Selezionare WAF.
Seleziona Crea regola.
Per Nome regola immettere un nome pertinente.
Per Se le richieste in ingresso corrispondono, in Campo selezionare Paese o Continente.
Per Operatore selezionare uguale.
In Valore selezionare il paese o il continente da bloccare.
Per Quindi eseguire un'azione, selezionare Blocca.
Per Inserisci in, selezionare Ultima.
Seleziona Distribuisci.
Set di regole gestite e OWASP
Selezionare Regole gestite.
Per Cloudflare Managed Ruleset selezionare Abilitato.
Per Cloudflare OWASP Core Ruleset selezionare Abilitato.